Webサイトのフォームで悪用被害急増中! - つみかさね
https://3yokohama.hatenablog.jp/entry/2020/12/09/15164011/24,25日頃ロリポップよりメール送信上限に達したので送信制限をかけたと
連絡がありました。一応サイト側にいろいろと対策をしました。その後は問題
無く使えています。
今日、さくらのサーバーよりこんな悪評被害が増えているという連絡がきまし
た。先日と同じですね。悪用される仕掛けが判りやすく説明されています。「
お問い合わせフォーム」の通常機能を悪用されたケースになりますね。
Webサイトのフォームで悪用被害急増中!加害者にならないためのフォーム設
置講座
https://www.sakura.ne.jp/column/rs/website-form-security/?utm_source=newsletter&utm_medium=email&utm_campaign=20201209WordPressプラグインContact Form 7「お問い合わせフォーム」を設置してい
る人はWordPressを使っている人の9割位だとか、そのContact Form 7の自動返
信機能を使って、一時に数千通、数万通のスパムメールを送る。そんな悪質な
事例で、設定した「お問い合わせフォーム」を使われていませんか?
「お問い合わせフォーム」にメルアド、名前、本文等を入力して送信を押すと、
そのメルアドに、自動的に「問合せ有り難うございます」等を発信するように
している使い方をしている場合。この自動返信機能を使った悪用被害です。
例として
1.お問い合わせした人のメールアドレス欄に、スパムメールを送りたいメー
ルアドレスを入力
2.お問い合わせ内容にフィッシングサイトや広告のリンクを入力
3.送信ボタンをクリック
4.お問い合わせありがとうございました!の確認メールが1で入力したアド
レスに送信される。問い合わせ内容も含んだ自動返信が送られるので、結果的
に広告メールを他人のサーバーから送信できる
これをプログラムで何千、何万件と自動実行します。何が起きるかと言うと、
全く関係ないフォームが置いてあるだけのサイトのサーバーから、任意のメー
ルアドレスに大量のメールを送信することができるようになるのです。
対策として
自動返信機能を使わない。(off)WordPressプラグインContact Form 7ではこ
の自動返信機能は初期設定でOFFになっていますので、OFFのまま使うのが良い
でしょう。
どうしても自動返信機能を使いたい場合は、「reCAPTCHA(リキャプチャ)を
使う」ことが対策となります。「reCAPTCHA(リキャプチャ)を使う」が判ら
ない人はoffで使うこと。ちなみに「reCAPTCHA」送信前に分割された写真が出
てきて「消火栓」はとか問いかけてくる仕組み。正解であれば送信が許可され
る。(プログラムで破ることが難しい)
